abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 12:33 | Komunita

Příspěvek na blogu Signalu (Wikipedie) informuje o založení neziskové nadace Signal Foundation, jež bude zastřešovat další vývoj tohoto svobodného bezpečného komunikátoru běžícího také na Linuxu (Signal Desktop). Brian Acton, spoluzakladatel WhatsAppu, věnoval nadaci 50 milionů dolarů [Hacker News].

Ladislav Hagara | Komentářů: 1
dnes 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
včera 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
včera 00:11 | Bezpečnostní upozornění

Vývojáři linuxové distribuce Mageia na svém blogu upozorňují na narušení bezpečnosti Mageia Identity. Narušitel získal přístup k LDAP databázi a zveřejnil jména uživatelů, jejich emailové adresy a haše hesel. Hesla uživatelů byla resetována.

Ladislav Hagara | Komentářů: 3
20.2. 21:55 | Nová verze

Byla vydána verze 2.0.0 nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). Z novinek je nutno upozornit na nový zpětně nekompatibilní formát záznamu asciicast v2. S novým formátem si poradí nové verze asciinema-playeru a asciinema-serveru [Hacker News].

Ladislav Hagara | Komentářů: 0
20.2. 05:55 | Zajímavý projekt

Dle příspěvku na blogu zaměstnanců CZ.NIC byl spuštěn ostrý provoz služby Honeypot as a Service (HaaS). Zapojit se může kdokoli. Stačí se zaregistrovat a nainstalovat HaaS proxy, která začne příchozí komunikaci z portu 22 (běžně používaného pro SSH) přeposílat na server HaaS, kde honeypot Cowrie (GitHub) simuluje zařízení a zaznamenává provedené příkazy. Získat lze tak zajímavé informace o provedených útocích. K dispozici jsou globální statistiky.

Ladislav Hagara | Komentářů: 12
20.2. 04:44 | Komunita

Před týdnem společnost Feral Interactive zabývající se vydáváním počítačových her pro operační systémy macOS a Linux oznámila, že pro macOS a Linux vydají hru Rise of the Tomb Raider. Včera společnost oznámila (YouTube), že pro macOS a Linux vydají také hru Total War Saga: Thrones of Britannia. Verze pro Windows by měla vyjít 19. dubna. Verze pro macOS a Linux krátce na to.

Ladislav Hagara | Komentářů: 0
19.2. 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
19.2. 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
19.2. 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (61%)
 (3%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 428 hlasů
 Komentářů: 35, poslední včera 19:51
    Rozcestník

    Dotaz: Debian firewall nastaveni pravidel do DMZ na www server

    24.10.2011 13:05 Tagy
    Debian firewall nastaveni pravidel do DMZ na www server
    Přečteno: 558×

    Ahoj, mejme web server umisteny v DMZ za debianim firewallem.

    Musim tedy nastavit pravidlo, ze pokud prijde paket na port 80 nebo 443, ze ho router posle na web server (ip: 192.168.2.3)

    Ve firewallu jsem nastavil tyto pravidla:

    #####################################################

    #!/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    .
    .
    .
    # povoleni tcp/udp/icmp 80/443 do site

    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL  -d 192.168.2.3 -j ACCEPT

    #Projdou temito pravidly pozadavky na web server do DMZ?

    #Jeste bych mel nadefinovat pravidla pri komunikaci web serveru z DMZ smerem do internetu

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    #####################################################

    Co to vlastne dela?
    parametr "-A" (append) pridava pravidlo/specifikaci
    FORWARD: pravidlo, ktere vsechny prichazejici pakety na jedno sitove rozhrani presmerovava na jine
    parametr "-d" (destination?) je to cilová IP
    parametr "-p" (protocol) protokol, tzn. bud: tcp, udp, icmp
    parametr "--dport" zachyceni na zaklade ciloveho portu
    parametr "-j" urcuje co ma jadro s danym paketem (vyhovujicim pravidlu) udelat, ACCEPT ->paket propustit na dane rozhrani

    parametr "-i" interface/rozhranni

     

    Jak overit ze dane pravidlo funguje?

    telnet x.x.x.x 80

    Zde jsem nasel nejake How To:
    http://www.aboutdebian.com/firewall.htm

    Maji tam jeste aktivovany NAT (maskaradu)

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    Diky :)

    Odpovědi

    24.10.2011 14:38 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Misto -p ALL bych pouzil -p tcp a o zadnou DMZ se nejedna, to by jsi musel mit na firwallu tri rozhrani/sitovky(predpokladam, ze podle navodu nemas dva firewall-u), take se na DMZ pouzivaji verejne IP adresy, potom nemusis pouzivat NAT. Imho ti tam chybi preklad smerem ven:
    # Enable SNAT (MASQUERADE) functionality on $EXTIF
    iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP
    
    NN
    30.10.2011 14:19 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    -p tcp jsem tam mel, jenze sel by pak ping? Ten bezi pres ICMP, az to pobezi tak to nastavim na tcp ;-) Prave ze mam dva firevall-y, jeden jako externi a druhy pro interni sit.
    Ted nastavuji externi aby my routoval na web server s neverejnou IP adresou.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp/udp/icmp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p ALL -d 192.168.2.3 -j ACCEPT

    # povoleni tcp/udp/icmp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p ALL -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p ALL -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p ALL --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

    #####################################################

    Jeste prikladam schema site, ktere jsem vyzistil na zaklade "ifconfig" na obou FW.

    http://dl.dropbox.com/u/2007219/FwDmz.png

    30.10.2011 18:34 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Kombinovat --dport 80 a -p ALL je prece kravina, ICMP pravidla s vetsinou uvadeji samostatne a HTTP UDP nepouziva.. Cil je, aby pravidla byla maximalne presna, jinak vzniknou diry.

    Imho, podle toho nakresu muzes usetrit jeden firewall a jeden switch, pri stejne urovni zabezpeceni, pokud pouzijes VLAN a jeden firewall, ktery ma vice sitovek.

    NN
    31.10.2011 12:11 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server

    "Kombinovat --dport 80 a -p ALL je prece kravina"

    Rozumim, na 80tce bezi HTTP a ten zas fici pres tcp, takze -p tcp

     

    Ohledne pouziti dvou firewallu... take jsem se ptal proc? Sit jsem nenavrhoval ja, mozna tam maji jiny, rozumny duvod... nevim.

    Sit jsem videl jen vzdalene, fyzicky nikoliv.

    ######################################################
    !/bin/sh
    extif="eth0" # externi interface
    intif="eth1" # interni interface
    extip="x.x.x.x" # verejna ip adresa
    ipt=/sbin/iptables

    # povoleni tcp 80/443 do site
    $ipt -A FORWARD -i $extif --dport 80 -o $intif -p tcp -d 192.168.2.3 -j ACCEPT
    $ipt -A FORWARD -i $extif --dport 443 -o $intif -p HTTP -d 192.168.2.3 -j ACCEPT

    # povoleni tcp 80/443 ze site ven
    $ipt -A FORWARD -i $intif --dport 80 -o $extif -p HTTP -j ACCEPT
    $ipt -A FORWARD -i $intif --dport 443 -o $extif -p HTTP -j ACCEPT

    # Enable DNAT port translation to DMZ Web server
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 80 -j DNAT --to 192.168.2.3
    $ipt -t nat -A PREROUTING -i $extif -d $extip -p HTTP --dport 443 -j DNAT --to 192.168.2.3

    # Enable SNAT (MASQUERADE) functionality on $extif
    $ipt-t nat -A POSTROUTING -o $extif -j SNAT --to $extif

    #####################################################

     

    Diky moc :-)

    31.10.2011 12:25 NN
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    -p HTTP
    bude asi mysleno -p tcp ...

    NN
    31.10.2011 15:38 Tagy
    Rozbalit Rozbalit vše Re: Debian firewall nastaveni pravidel do DMZ na www server
    Jj zacal jsem to editovat, ale pak jsem odbehl... :-) a zapomnel na to

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.